Измучился с пробросом портов
-
Всем добрый день, товарищи уже измучился с пробросом портов. Читал все факи(сделано по ним). Но что то нифига не работает. В кратце задача: при заходе на ван порт по порту 8088 должно пробрасывать на 192.168.1.2 на 80 порт(там вебморда почтового сервака). Все прописывал как в факах но ничего не получается(не работает).
P.S. Данный сервак пока готовиться к тому чтобы заменить основной(все компы в сети прописаны на 192.168.1.1-айпишник сервака с ПФ 192.168.1.3)
Все остальные правила пока тоже не работают, но самое главное заставить пробросить порт на вебморду почтовика. Скрины настроек прилагаю
P.S.S. на PF установлены Squid v3+lightSquid v3.
Кстати из внутренней сетки при наборе внешнего айпишника и порта пробрасывает, из вне(т.е. с другого провайдера) не проходит. 2ip говорит что порт 8088 закрыт
-
Всем добрый день, товарищи уже измучился с пробросом портов. Читал все факи(сделано по ним). Но что то нифига не работает. В кратце задача: при заходе на ван порт по порту 8088 должно пробрасывать на 192.168.1.2 на 80 порт(там вебморда почтового сервака). Все прописывал как в факах но ничего не получается(не работает).
P.S. Данный сервак пока готовиться к тому чтобы заменить основной(все компы в сети прописаны на 192.168.1.1-айпишник сервака с ПФ 192.168.1.3)Прочтите в факах про шлюз на компах при пробросе портов.
-
Если дело только в этом то прошу прощения за беспокойство(завтра утром обязательно попробую и отпишу о результатах)
Попробовал сейчас сервак с 1с перенастроить на 192.168.1.3 и подключиться по внешнему айпишнику на порт 2000-результат нулевой, нет подключения. -
А можно показать схему сети?
-
Если дело только в этом то прошу прощения за беспокойство(завтра утром обязательно попробую и отпишу о результатах)
Попробовал сейчас сервак с 1с перенастроить на 192.168.1.3 и подключиться по внешнему айпишнику на порт 2000-результат нулевой, нет подключения.Для тестирования требуется подключаться с ВНЕШНЕГО источника. Если Вы пытаетесь протестировать маппинг подключением из локальной сети, то у Вас ничего не получится без дополнительных настроек. Совсем недавно была тема, там порты тестировались с некоторого сайта. Погуглите сайты на тему проверки открытости портов.
-
Конечно тестирую с другого интернет канала(другой провайдер/другие айпишники) т.е. однозначно тестирую подключение из вне.
Схематичная карта сети
-
В порт форвард для 8088 Dest.addr – Wan address. Правило XZ на 3128 отключите. (Зачем сквид на порт-форваде?. Обычно кешируют скидом на внутренних интерфейсах)
Сделано, но ничего не изменилось. По прежнему пока не работает ни одно правило
-
Выключите временно Squid . Пинги с интерфейсов PF до внутренних адресов идут?
-
А в правилах LAN что прописано?
Сервак-то сам может в интенет выходить, шлюз на нём pfSense прописан?
А из локалки-то по 80 порту доступ к серваку есть? -
А в правилах LAN что прописано?
Сервак-то сам может в интенет выходить, шлюз на нём pfSense прописан?
А из локалки-то по 80 порту доступ к серваку есть?Сам сервак в инет гуляет без проблем, на нем шлюзом прописан Pfsense, из локалки доступ на 80 порт есть, из локалки даже если ввести в браузер внешний айпишник и порт перебрасывает куда надо т.е. срабатывает схема lan->wan->lan. Из внешки пройти не могу
-
Выключите временно Squid . Пинги с интерфейсов PF до внутренних адресов идут?
К сожалению уже ушел с работы, внешнего доступа нет. Завтра устром в 8:30 по Мск попробую и отпишусь о результатах. Но из локалки сервак отлично пингуется(из внешки тоже пинг есть)
-
Правильно. Но пинг–это ICMP, а http на порт 8088 при Ваших настройках должен заворачиваться на сквид (т.е. весь входящий на WAN http трафик) . А дальше куда трафику идти?
P.S. Да и пинг из-вне с такими правилами идти на внутренние машины не должен. На WAN нет разрешающих правил для ICMP.
-
Правильно. Но пинг–это ICMP, а http на порт 8088 при Ваших настройках должен заворачиваться на сквид (т.е. весь входящий на WAN http трафик) . А дальше куда трафику идти?
т.е. получается надо копать squid чтобы не мешал бегать траффику из вне?Обязатаельно завтра попробую его отключить и протестить
-
Правило Dest.Addr WAN address и Dest. ports 3128 NAT IP 192.168.1.3 по-моему вообще надо удалить, а
вместо правила Dest.Addr * Dest. ports 8088 NAT 192.168.1.2 NAT Ports 80 вместо Dest.Addr *
прописать Dest.Addr WAN address.
По идее всё должно железно работать.
А ещё - не стоит ли на серваке касперский - не включен ли режим невидимости, тогда в локалке всё
будет бегать, а из интернета фигвам. -
Ну что ж утренний отчет по действиям что советовали вчера:
1. Выключил сквид-проверил соединение из внешки-не работает
2. Еще раз проверил все правила файрвола и пробросов, на данный момент они вот такие(см.приложения)
3. Так как на данный момент почтовый сервак очень важен решил все таки колдовать с пробросом RDP подключения на сервак 1с(айпишник 192.168.1.199)
Открыл для него порт 2000(2ip.ru видит порт открытым, хотя в тоже время порт 8088 виден закрытым)
4. Пробовал телнетом проваливаться по портам, из внешки ничего не проходит(сквид и включен и выключен-результат один). Если телнетом долбить находясь в нутри сети по внешнему айпишнику соединение отличное(RDP также работает отлично даже если цепляемся на внешний IP находясь внутри сети)
5. Антивирь на серваке 1с отключен, брендмауэр тоже(как система на 1с серваке юзается win7 prof с патченым файлом для кол-ва RDP)Какие еще будут советы как победить шантан машину?
P.S. Давайте теперь будем рассматривать проброс RDP подключения т.к. данный сервак уже настроен на шлюз с PFsense
-
А скопировать в закладке LAN правило с LAN net и вместо LAN net поставить 192.168.1.2,
и такое же правило для 192.168.1.199?
А с внешки RDP как набираете - mstsc <белый ip-адрес>:2000,
а в браузере <белый ip-адрес>:8088? -
Попробовал и так(см 1 картинку) и так (см 2 картинку) результат тот же-из внешки подключиться не удалось
-
RDP набираю конечно же "белый IP:2000" ну и в браузере соответственно тоже с указанием порта
-
Удалите в LAN закладке два нижних правила, они ни к чему.
В принципе, если создать алиас к примеру servers, в него прописать серваки 192.168.1.2 и 192.168.1.199
и в правиле вместо LAN net поставить алиас servers, всё просто обязано железно работать!
У меня работает и RDP и VNC и видеонаблюдение. -
В NAT port-forward Dest.port поставте 3389. Если Вы подключаетесь из Windows "Подключение к удаленному рабочему столу" то заработает.